aunque entiendo que la inyección de comandos del sistema operativo debe tener la entrada no confiable para validarse, veo que la gente ha sugerido utilizar ProcessBuilder(...).start()
sobre Runtime.getRuntime().exec(..)
; ¿Esto se debe a que ProcessBuilder no toma el comando para ejecutarse como una sola cadena?